《个人信息保护法》和《数据安全法》二审稿已于上个月公布并公开征求意见。它们是具有里程碑意义的法律,将对个人信息的处理以及中国的数据安全产生重大影响。在这份电子简报中,我们重点介绍了两份二审稿的关键条款,阐述了我们对最新条款的观点。鉴于这些立法动态的重要性,我们建议公司及时了解法律草案的进展。提交二审稿意见的截止日期为2021年5月28日1

背景

《个人信息保护法》和《数据安全法》草案分别于去年10月和6月提交第十三届全国人大常委会第一次审议(请点击此处查看我们对《个人信息保护法》的评论,于此处查看我们对《数据安全法》的评论)。2021年4月下旬,这两部草案被提交常委会第二次审议。法律在提交常委会投票表决之前,通常要经历三次审议。第一次审议通常侧重于所提出法律的必要性、可行性和合理性,第二次审议则深入探讨关键问题,第三次旨在审议解决所有剩余问题,并确定最终的立法文本。常委会没有明确第三次审议的时间,但考虑到目前的进展,我们预计第三次审议将在2021年下半年进行。

修订要点与我们的观察

《个人信息保护法》

扩展法律基础

《个人信息保护法》草案明确允许在合理的范围内处理已公开的个人信息。这为处理个人数据增加了新的法律基础,且与《民法典》的规定相一致。《民法典》允许对合法公开的个人信息进行“合理处理”(除非有关个人拒绝,或处理该信息侵害其重大利益)。

《个人信息保护法》草案和《民法典》都没有对这些情况中何为 “合理”进行界定。此外,《个人信息保护法》草案没有阐明是否允许处理非法公开的个人信息。

值得注意的是,《个人信息保护法》草案明确指出,个人同意是处理个人信息的主要法律依据,其他法律依据是这一要求的例外,这与《民法典》的思路相呼应。因此,如果没有其他法律依据,在任何情况下都必须首先获得个人同意,才能处理个人信息。

撤回同意

《个人信息保护法》草案要求个人信息处理者(请点击上面的超链接参阅我们之前的电子简报中对“个人信息处理者”概念的解释)为个人撤回同意提供便捷的方法。此外,在这类撤回之前进行的信息处理活动都应是有效的。

个人信息跨境传输

《个人信息保护法》草案将前一稿中适用于国家机关的数据本地化义务扩展到法律、法规授权的具有管理公共事务职能的组织,若其处理个人信息为履行法律职责的一部分。目前并没有这类组织的明确清单,但可能包括一些在关键领域履行公共职能的单位,如提供公用事业服务的国有企业和高等教育机构。将来,从这些组织接收个人信息的单位也可能被要求对个人信息进行本地化。

另一个重要的进展是,中国数据处理者与境外接收者之间签订的国际数据传输合同必须以中国国家互联网信息办公室(“网信办”)公布的标准合同为基础。这似乎等同于欧洲《通用数据保护条例》之下所要求的标准合同条款。

《个人信息保护法》草案和《数据安全法》草案对于向境外司法或执法机构提供个人信息和重要数据的规定的相关表述进行了统一。任何这类数据传输必须先提交中国有关主管机关批准。

个人权利

《个人信息保护法》草案保留个人请求删除其个人信息的权利。但是,只有在个人信息处理者最初没有删除这些个人信息的情况下,这项权利才可以被行使。这引发了一个疑问:个人如何知道自己的个人信息是否已被删除?要求处理者将信息删除通知个人将是一种合理的做法,但《个人信息保护法》草案目前并未对此作出规定。

《个人信息保护法》草案还增加了一项规定,即死者的权利可由其近亲属行使。然而,实践中这可能会产生一些问题。例如,哪些人是“近亲属”并不清楚,因为民法、刑法和行政法规定的范围均不相同。此外,尚不清楚这些近亲属中谁能够行使这些权利,或者全部近亲属是否需要集体行动。如果近亲属不能就如何行使死者的权利达成一致意见,这个问题将尤为重要。

保护措施

互联网平台的特殊义务

《个人信息保护法》草案对提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者规定了特殊的个人信息保护义务。这些义务包括以下要求:

  • 建立一个主要由外部成员组成的独立机构,监督处理者的个人信息处理活动;

  • 对个人信息处理活动严重违反法律法规的产品或服务提供商停止提供服务;以及

  • 定期发布个人信息保护社会责任报告,接受社会监督。

这与近期政府加大对互联网平台监管力度的监督执法趋势是一致的,这种趋势特别反映在在针对互联网巨头的一系列执法行动和处罚。要求设立独立机构的想法可能源于境外监管机构在应对互联网巨头时也采取了类似行动。

产品和服务提供商还需确保其信息处理活动符合《个人信息保护法》,以避免失去在互联网平台运营的权利。

第三方处理者的义务

此外,《个人信息保护法》草案明确要求代表处理者处理个人信息的第三方履行草案规定的相关保护义务。

监管机构的权力

《个人信息保护法》的最新草案阐明,网信办将协调其他部门规范个人信息保护。草案进一步扩大了监管者的权力,包括:(1)针对敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准;(2)促进安全方便的电子身份认证技术的研发。

为限制监管者在《个人信息保护法》下的权力,草案进行了一些修改。扣押用于违法个人信息处理活动的设备或物品,需要获得相关监管机构负责人的内部批准。《个人信息保护法》草案还规定,只有在信息处理者的处理活动存在较大风险或发生个人信息安全事件的情况下,监管机构才能要求进行强制性合规审计。

民事案件中的举证责任

在信息处理者涉嫌侵犯个人信息权益的民事案件中,《个人信息保护法》草案将举证责任从个人转移到了信息处理者身上。如果处理者不能证明自己没有过错,将承担民事责任。这符合近期判决中反映的司法立场,即要求信息处理者证明自己没有过错。这背后的合理性依据是:在这种情况下,个人通常很难提供证据证明信息处理者存在过错。

《数据安全法》

强调网络安全等级保护制度(“等保”)重要性

《数据安全法》草案强调,《数据安全法》下的数据保护机制应该建立在等保制度的基础上,等保制度是《网络安全法》所设想的核心网络安全保护机制。随着《数据保护法》的颁布,我们预计与等保制度有关的执法行动也将加强。

重要数据目录

此次《数据安全法》草案明确,中央将出台全国重要数据目录以加强保护。在草案一审稿中,只有各部门和地方政府负有这种义务。

跨境数据传输

《数据安全法》草案增加了关键信息基础设施运营者在向境外传输重要数据时须遵守《网络安全法》的要求。关键信息基础设施的运营者被要求在中国境内存储在境内收集和产生的任何重要数据。此外,网信办和其他部门将颁布关于作为非关键信息基础设施运营者的信息处理者向境外传输重要数据的法规。

上述规定符合《网络安全法》对关键信息基础设施运营者的跨境传输要求,尽管关键信息基础设施运营者的范围尚未确定,

处罚

《数据安全法》草案增加了对违法行为的罚款数额。对单位罚款数额由原草案的1万元至100万元增加到5万元至500万元;对责任人员罚款由5000元至5万元增加到1万元至10万元。

《数据安全法》草案还规定,拒不配合中国公安机关和国家安全机关为国家安全或刑事调查调取数据的,将被处以罚款。值得注意的是,在未经中国主管机关事先批准的情况下,应境外司法或执法机构的要求向其提供数据也可能被处以罚款。

有趣的是,该草案取消了对未经许可从事数据处理业务的处罚。目前尚不清楚这是由于疏忽造成的,还是由于该类许可属于电信主管部门的管辖范围。